Multi-License Discount Quote
Uhatietokanta Ransomware Dxen Ransomware

Dxen Ransomware

Vuonna Mezo vuonna Ransomware
Käännä:
Suomi

Infosecin tutkijat ovat äskettäin paljastaneet uuden kiristysohjelmauhan, joka tunnetaan nimellä Dxen. Tämän tyyppiset haittaohjelmat toimivat salaamalla saastuneen laitteen tiedostot ja vaativat sitten uhrilta maksua salauksen purkamisesta. Kun Dxen on tunkeutunut laitteeseen onnistuneesti, se aloittaa salausprosessin ja muuttaa järjestelmään tallennettujen tiedostojen nimiä. Muokattuja tiedostonimiä ovat:

  • Uhrille annetaan yksilöllinen tunniste.
  • Hyökkääjien sähköpostiosoite.
  • .dxen-laajennus.

Esimerkiksi tiedosto, jonka alkuperäinen nimi oli 1.jpg, voidaan muuntaa muotoon 1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.

Salausprosessin päätyttyä Dxen luo lunnaita, jotka esitetään uhreille ponnahdusikkunan ('info.hta') ja tekstitiedoston ('info.txt') kautta. Nämä tiedostot on sijoitettu strategisesti kaikkiin salattuihin hakemistoihin ja työpöydälle varmistaakseen näkyvyyden asianomaiselle käyttäjälle. Erityisesti Dxen on vahvistettu muunnelmaksi, joka on peräisin Phobos Ransomware -perheestä, mikä osoittaa yhteyden tähän tiettyyn uhkaavaan ohjelmistokantaan.

Dxen Ransomware yrittää kiristää rahaa uhreiltaan

Dxen ransomwaren luoma tekstitiedosto ilmoittaa uhrille, että hänen tiedot on salattu, ja kehottaa häntä ottamaan yhteyttä hyökkääjiin salauksen purkuprosessin helpottamiseksi. Tämän lisäksi mukana tuleva ponnahdusikkuna tarjoaa lisätietoja ransomware-tartunnasta ja täsmentää, että salauksen purkuprosessi edellyttää lunnaiden maksamista Bitcoin- kryptovaluuttana. Vaikka lunnaiden tarkkaa määrää ei ole määritelty, sen väitetään riippuvan siitä, kuinka nopeasti uhri ottaa yhteyden. Ennen kuin uhri sitoutuu lunnaiden maksamiseen, hän saa mahdollisuuden testata salauksen purkuprosessia enintään viidellä tiedostolla ilman maksua.

Lunnasviesti päättyy uhria varoittaviin varoituksiin. Erityisesti se suosittelee olemaan nimeämättä salattuja tiedostoja uudelleen tai yrittämättä käyttää kolmannen osapuolen salauksenpurkuohjelmistoa, koska tällaiset toimet voivat johtaa pysyvään tietojen menettämiseen. Nämä yksityiskohdat korostavat Dxen Ransomwaren käyttämää pakkotaktiikkaa ja korostavat uhrien kohtaamia taloudellisia ja operatiivisia riskejä, jotka saattavat joutua olemaan tekemisissä hyökkääjien kanssa saadakseen takaisin pääsyn salattuihin tietoihinsa.

Dxen Ransomware sulkee useita palautusvaihtoehtoja

Dxen, joka on osa Phobos Ransomware -perhettä, jakaa ominaisuuksia muiden tämän ryhmän ohjelmien kanssa, ensisijaisesti kohdistaen sekä paikallisiin että verkon jaettuihin tiedostoihin salausta varten. Erityisesti tartunnan saaneet laitteet pysyvät toiminnassa, koska kriittiset järjestelmätiedostot säästetään tarkoituksella salausprosessilta. "Käytössä olevista" tiedostoista johtuvien poikkeuksien estämiseksi Dxen lopettaa avoimiin tiedostoihin liittyvät prosessit, kuten tietokantaohjelmat ja tekstitiedostojen lukijat.

Välttääkseen aiemmin vaarantuneiden tiedostojen kaksoissalauksen, Phobos Ransomware -ohjelmat ylläpitävät luetteloa kiristysohjelmatyypeistä. Tämä strategia ei kuitenkaan ole idioottivarma, koska se ei kata kaikkia olemassa olevia tietoja salaavia haittaohjelmia. Lisäksi nämä kiristysohjelmat toteuttavat toimenpiteitä poistaakseen mahdollisuuden tiedostojen palautukseen pyyhkimällä Shadow Volume Copies -kopiot.

Phobos-haittaohjelma varmistaa pysyvyyden replikoimalla itse %LOCALAPPDATA% polulle ja rekisteröimällä tietyillä Run-avaimilla. Tämän seurauksena kiristysohjelma käynnistyy automaattisesti jokaisen järjestelmän uudelleenkäynnistyksen jälkeen, mikä varmistaa jatkuvan läsnäolon tartunnan saaneessa laitteessa.

Lisäksi Phobos Ransomwarella on huolestuttavaa kykyä kerätä maantieteellisiä tietoja, joiden avulla hyökkääjät voivat arvioida tartunnan etenemisen kannattavuutta. Hyökkäysten taustalla olevaan motivaatioon voivat vaikuttaa geopoliittiset tekijät, alueen taloudellinen vahvuus tai muut strategiset näkökohdat, mikä korostaa Phobos-perheen kiristysohjelmien aiheuttaman uhan monitahoisuutta.

Älä noudata kyberrikollisten antamia ohjeita

Tietoturvatutkijat korostavat, että kiristysohjelmauhkien salaamien tietojen salauksen purku on tyypillisesti monimutkainen tehtävä ilman kyberrikollisia. Lisäksi vaikka uhrit noudattaisivat lunnaita koskevia vaatimuksia, he eivät useinkaan saa luvattuja salauksen purkutyökaluja. Tästä syystä asiantuntijat varoittavat lunnaiden maksamista, sillä se ei vain takaa tietojen palauttamista, vaan myös ylläpitää ja tukee laitonta toimintaa.

Jotta lunnasohjelmien aiheuttama lisätietojen salaus voidaan pysäyttää, vaaralliset ohjelmistot on poistettava kokonaan käyttöjärjestelmästä. On kuitenkin tärkeää huomata, että kiristysohjelman poistaminen ei automaattisesti palauta salattuja tiedostoja. Ainoa sopiva ratkaisu on palauttaa tiedostot aiemmin luodusta varmuuskopiosta, jos se on olemassa ja tallennettu erilliseen paikkaan.

Yleisen tietoturvan parantamiseksi asiantuntijat suosittelevat ennakoivaa lähestymistapaa ylläpitämällä varmuuskopioita useissa eri paikoissa. Tämä voi sisältää etäpalvelimia, irrotettuja tallennuslaitteita ja muita suojattuja välineitä, joilla varmistetaan, että tietojen palauttaminen pysyy mahdollisena ransomware-hyökkäyksen sattuessa. Tämä kattava strategia auttaa vähentämään kiristysohjelmiin liittyviä riskejä ja korostaa vankan varmuuskopiojärjestelmän merkitystä arvokkaiden tietojen turvaamisessa.

Pääasiallinen Dnex-ransomwaren uhreille toimitettu lunnaat on:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Dnex Ransomwaren luomat tekstitiedostot sisältävät seuraavan viestin:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trendaavat

Eniten katsottu

Ladataan...